1 FIN6开始传播勒索软件Ryuk和LockerGoga
研究人员近日发现FIN6组织开始使用勒索软件LockerGoga和Ryuk的攻击活动。FIN6首先通过破坏联网系统获得对环境的访问权限,然后利用窃取凭证使用Windows的远程桌面协议(RDP)在环境中横向移动。使用两种方法建立立足点,第一种为使用PowerShell执行编码的命令,命令包含有效载荷Cobalt Strike以横向移动,然后继续下载shellcode等其它有效载荷。第二种是利用Windows服务的创建来执行编码的PowerShell命令,命令包含一个Metasploit反向HTTP shellcode有效载荷。FIN6利用Metasploit框架提权,以及Adfind和7-Zip等公开工具进行内部侦察、压缩数据并协助其整体任务,完成勒索软件LockerGoga和Ryuk的部署。
https://www.fireeye.com/blog/thr ... fin6-intrusion.html
2 研究人员发现GoBrut僵尸网络新ELF变种
研究人员发现与Magecart组织有关的僵尸网络GoBrut,出现了可以针对Unix的新ELF变种。GoBrut是用Golang编写的恶意软件,它被用来暴力破解运行内容管理系统(CMS)和SSH、MySQL等技术的服务器。研究人员发现针对Magento CMS和phpMyAdmin进行暴力破解的2个攻击向量,并且发现一个新C2,其专门用于针对WordPress进行暴力破解,目前观察到大约1568个WordPress站点的约11,000个受感染服务器。
https://blog.alertlogic.com/gobr ... -new-c2-discovered/
3 安全厂商分析IEncrypt变种并发布解密器
近日一家公司遭到勒索软件Dridex攻击,其模块为IEncrypt变种。攻击始于一封网络钓鱼邮件,其附带Office文件,启用恶意宏后将触发勒索软件安装,然后进行横向移动,最后以该公司内数百个Windows站点被勒索软件加密告终。该勒索软件功能包括加载DLL文件和获取所需进程地址,使用AES对文件加密,使用RSA对密钥加密,加密密钥存储在一个名为._readme的相邻文件中。研究人员还发布了免费IEncrypt解密工具。
https://www.guardicore.com/2019/04/iresponse-to-iencrypt/
4 虚假报价请求电子邮件传播Agent Tesla
研究人员发现虚假报价请求电子邮件传播Agent Tesla键盘记录器(信息窃取程序)。邮件带有恶意Excel附件,利用社会工程学试图让用户点击表格上的“启用内容”,然后将触发Microsoft公式编辑器漏洞 CVE-2017-11882,最终从受感染的电子商务网站下载Agent Tesla有效载荷。
https://myonlinesecurity.co.uk/a ... uest-for-quotation/
5 网络犯罪群隐藏社交平台中提供恶意服务
研究人员发现许多网络犯罪分子在Facebook等社交媒体网站上公开运营。目前已发现74个网络犯罪群组,总共约有38.5万名成员,他们可提供多种恶意服务,包括垃圾邮件、网络钓鱼、信用卡和其它类型的非法活动。研究人员通过与Facebook安全团队的联系,大多数恶意群体很快被取消,但新群体继续涌现,有些已被删除的群体能够以某种方式在Facebook上保持活跃长达八年,有些群体在报告发布之日仍然活跃。
https://blog.talosintelligence.c ... in-plain-sight.html
6 MikroTik路由器中存在漏洞可致DoS攻击
MikroTik发布了系统更新,已修复易于远程利用的漏洞CVE-2018-19299,该漏洞影响MikroTik路由器设备,可导致拒绝服务(DoS)攻击。因这些路由设备会路由IPv6数据,攻击者可以发送特定的IPv6数据包字符串,增加路由器上的RAM使用率。研究人员表示因IPv6路由缓存大小可能比可用RAM大,最终导致内存被填满,实现DoS攻击。
https://www.bleepingcomputer.com ... e-mikrotik-routers/
|
发表于 2019-4-6 20:54
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡